专栏首页运维研习社我的服务器被SSH暴力登录了吗?

我的服务器被SSH暴力登录了吗?

上面截图的这块日志,是CentOS7系统,messages中的一段日志,很多人在排查问题的时候,看到messages里面大量的这种类型的日志,都是一脸懵逼,搜索引擎一搜,也没有上面结果,大多说这是正常的日志,不用担心,如果需要关闭,redhat官网有提示如何关闭

还有一些说这是有用户登录系统,当然,redhat在其官网solutions关于这个问题的回答中,也表明,这些消息是正常的,是用户每次登录都可以看到的消息,要禁止这些日志显示在messages中,可以使用rsyslog中的过滤器进行丢弃

看到是用户登录产生的日志,很多人就会说,是不是我的服务器被暴力破解了,这么多登录日志

上面的说法,不能说错,但不全面,所以,整理了这篇文章

这部分日志,记录了大概以下几个信息

  • 为用户创建slice
  • 启动用户会话
  • 启动了用户会话
  • 删除用户会话
  • 删除用户slice
  • 停止用户slice

总体就是这几个部分,但是这几个部分不一定会每次都按照这个顺序出现,后面慢慢来讲,接着往下看

首先来说这个slice,我们都知道,CentOS7上,是用systemd进行资源管理的,而slice是systemd下面的控制组单元

我们从上面的图可以看到,首先就是为用户创建了一个slice文件,这个以".slice"为后缀的单元文件,是用于封装管理一组进程资源占用的控制组的slice单元

这类单元,是通过在cgroup树中创建一个节点实现资源控制的,对slice单元施加的资源限制,将会作用于这个slice单元所包含的全部进程的集合,全部的slice单元按照树形层次结构组成一棵资源控制树,干巴巴的文字,你可能不太好理解,上图看

这个就是系统中的slice

我们这里关心的是用户的slice,所以我们看用户的slice,通常用户的slice,中间那个数值是用户的uid,我这个虚拟机只有root用户,看下root用户的slice

看一下,是不是对于一个用户资源进行了控制,以组管理,以CGroup树型层次结构

这里顺便说下,为什么上面说,日志中这几个部分不一定会同时出现,通常一个用户第一次创建了slice,没有删除之前,后面这个用户再开启会话的时候,不会再创建slice,只会开启会话,所以日志只有开启会话和,开启了会话

root用户第一次登录的时候,创建了slice

下面是后面用户登录的时候,messages记录的日志,启动会话

用户退出的时候,就会删除用户会话

如果想看slice文件的话,可以在/sys/fs/cgroup下面,对应各个资源组下面,看相应的slice的资源限制

接着往下看,什么时候会删除slice,我们先创建个用户,我这里用nginx用户,设置允许远程登录,接着登录,看下messages日志

看下这个slice

接着,退出nginx登录,可以看到,nginx的slice被删除了

通过上面这部分,最起码应该了解了这部分日志的意思了,接着继续

上面说的都是用户登录的时候,产生的这些日志,为什么我在文章开头,说这个说法不全面呢,上面nginx退出的截图中,我故意截取了中间有一个root用户的Started Session的日志信息

这个时候,我是没有操作root用户登录的,这个是虚拟机,也不可能有其他人登录的,所以那这是怎么产生的?

我们还是看一下root用户的slice,session 8是我刚登录的,执行了查看slice命令的,session 5是我通过另外一个终端窗口查看messages日志的,而session 1,并不是我执行的,可以通过pid查看该进程,但是我查看的时候,这个进程已经结束了

不过没关系,我通过root用户的Started Session产生时间分析,应该是定时任务产生的

看规律是每小时执行的,所以查看cron的hourly下面,确实有该定时任务

所以,当你为用户配置了定时任务时,用户执行定时任务时,也会启动会话,产生这类日志

目前没有查到任何资料总结说哪些调用会启动该日志,但有资料说该日志是由systemd的session_start_scope()打印的,能力有限,就没有办法分析了

所以,这部分日志代表用户登录系统不准确,要表示定时任务也不准确,所以可以忽略这部分日志

另外,检查系统日志,确认是否由用户登录系统,还是需要通过btmp、wtmp和secure日志进行确认

last命令可以查看wtmp的信息,lastb可以查看btmp的信息,而secure日志则记录了更详细的用户登录认证过程

如有任何问题,欢迎留言交流,如果觉得有用,请关注、转发、在看三连!!!

本文分享自微信公众号 - 运维研习社(gh_4135e2716ad3),作者:运维研习社

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-06-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 高并发调优backlog多大合适?

    那么对于nginx,对于php-fpm,backlog应该设置多大,是越大越好吗?backlog怎么设置合适?这是上篇文章中遗留的几个问题

    李俊鹏
  • Filebeat自定义pipeline,完美处理自定义日志字段

    filebeat是本地文件日志数据采集器,通常用作ELK中的日志采集,将采集的日志数据传输到elasticsearch,当需要进行数据处理时,先传入logsta...

    李俊鹏
  • 开源镜像仓库Harbor的镜像安全

    之前介绍过Harbor,从安装部署到简单使用,今天这里就不再重复介绍了,有需要的可以跳转到'Harbor 功能强大的企业级私有仓库'查看,今天主要介绍Harbo...

    李俊鹏
  • (23)打鸡儿教你Vue.js

    Webpack 目前无论在求职还是工作中,使用越来越普及。而想要学懂,学会Webpack更绝非易事。

    达达前端
  • 剑指offer(二):不修改数组找出重复的数字

    在一个长度为 n+1 的数组里的所有数字都在 1 到 n 的范围内,所以数组中至少有一个数字是重复的。请找出数组中任意一个重复的数字,但不能修改输入的数组。例如...

    程序员小浩
  • javascript基础练习:借用原型对象实现继承 & 排他思想 & 页面带参数自动跳转

    定义两个构造函数Student和Person,利用原型对象模拟上面类的继承关系。就是用对象模拟类,然后用call方法在函数内调用父类的方法即可。 注意call...

    Enterprise_
  • 腾讯地图点聚合开发-实现地图找房功能

    地图找房功能使用点聚合来实现的。官网示例如下:https://lbs.qq.com/javascript_v2/sample/overlay-markerclu...

    腾讯位置服务
  • (十三)什么是用户故事?

    用户故事(user story)是个用来确定用户和用户需求的简短描述,用户故事是从用户的角度来描述用户苛求得到的功能。一个好的用户故事包括三个要素:

    砖家认证
  • 注册表常用键值意义

    [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]

    owent
  • 针对负载均衡集群中的session解决方案的总结

    在日常运维工作中,当给Web站点使用负载均衡之后,必须面临的一个重要问题就是Session的处理办法,无论是PHP、Python、Ruby还是Java语言环境,...

    洗尽了浮华

扫码关注云+社区

领取腾讯云代金券